● 157 entries
防御与运营
- 安全基线某类系统在投入生产之前必须满足的、有文档记录的最低可接受安全配置。
- 安全剧本为特定告警或事件类型而准备的可重复执行的书面流程,告诉响应人员按何种顺序做什么。
- 安全控制用于预防、检测或应对针对信息资产威胁的技术、管理或物理保障措施。
- 安全态势组织网络安全防御的整体强度,体现为其预测、预防、检测、响应和从威胁中恢复的综合能力。
- 安全运营中心(SOC)集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
- 白队中立协调者,负责设计、监督和裁定网络安全演练与比赛,以确保安全、公平并符合既定目标。
- 白帽黑客在获得明确授权的前提下使用攻击技能,发现并报告漏洞以便防御者修复的安全专业人员。
- 被动 DNS记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。
- 变更管理在风险可控、可追溯的前提下,对 IT 系统的变更进行提出、评审、审批、计划、实施与复盘的结构化流程。
- 补偿性控制在无法实施主要或必需控制时,采用替代性保障措施,以提供同等级别的保护。
- 补丁管理对修复漏洞或缺陷的软件更新进行识别、测试、部署和验证的端到端流程。
- 持久化MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
- 初始访问MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
- 初始访问经纪人(IAB)专门获取企业网络未授权访问权并出售给其他犯罪者(尤其是勒索软件附属者)的网络犯罪专家。
- 端点隔离EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
- 发现(MITRE 战术)MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。
- 反击式黑客行动(Hack-Back)私营受害方主动对攻击者基础设施实施的报复性进攻行为,在大多数国家的计算机滥用法律下基本属于违法。
- 防御规避MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- 告警疲劳由过多、低价值或重复告警造成的分析人员注意力下降,导致真正的事件响应被延误。
- 隔离区 (端点)将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
- 攻击面管理(ASM)对所有可能让组织面临网络攻击风险的资产进行持续的发现、清点、分类和监控。
- 攻击模式对一类弱点如何被利用的可复用描述,用于映射攻击技术、构建检测规则和加固系统。
- 攻击指标(IoA)表明攻击者当前正在尝试入侵的行为证据,聚焦于意图与技术,而非事后留下的工件。
- 国家级威胁行为者受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。
- 黑客具有深厚技术好奇心、以创造性解决方案理解、改造或攻破系统、软件、网络或硬件的人。
- 黑客行动主义者为推进政治、社会或意识形态诉求而发动网络攻击的威胁行为者,其动机并非获利或国家情报目标。
- 黑帽黑客出于个人利益、意识形态或恶意目的,在未经授权的情况下入侵系统,违反计算机犯罪相关法律的恶意威胁行为者。
- 横向移动MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- 红队进攻方安全团队,通过端到端模拟真实对手来评估组织的检测、遏制和响应能力。
- 黄队构建者团队 —— 由开发者、架构师和 DevOps 工程师组成,设计并交付红队与蓝队所攻防的系统。
- 灰帽黑客介于伦理与非伦理之间的黑客,常在未经明确授权的情况下探测系统,但通常意在披露而非造成损害。
- 检测工程以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。
- 检测性控制用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。
- 脚本小子(Script Kiddie)缺乏技术深度的攻击者,直接套用他人编写的工具、脚本或服务发动攻击,通常并不理解底层原理。
- 纠正性控制在事件发生后采取行动以限制损害、消除威胁并将系统恢复到已知正常状态的安全措施。
- 蓝队负责监控、检测、响应并持续改进防御能力的防守方安全团队。
- 勒索软件团伙以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
- 漏报检测未能识别的恶意活动,使威胁悄然进行,防御者无法察觉并响应。
- 漏洞评估对环境进行系统化审查,以识别、分类和优先排序安全弱点,通常不进行实际的漏洞利用。
- 漏洞扫描自动化对系统、应用或容器进行探测,根据已知漏洞特征生成潜在弱点清单的过程。
- 伦理黑客获得授权对系统使用攻击技术、帮助所有者在被对手利用前发现并修复弱点的安全专业人员。
- 蜜罐文件放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。
- 蜜罐用户(Honeyuser)在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
- 蜜罐账号(Honey Account)以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。
- 内部威胁现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
- 配置管理通过定义、记录并强制执行系统与应用的期望状态,使配置保持已知、可预期且安全的管理实践。
- 凭据访问MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
- 欺骗防御技术一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
- 启发式检测通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
- 日志关联依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。
- 日志聚合将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。
- 容器镜像扫描在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。
- 入侵指标(IoC)可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- 杀毒软件 (AV)端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
- 沙箱 / 模拟器检测恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。
- 沙箱逃逸一种漏洞或漏洞利用链,使代码能从隔离的沙箱(浏览器、VM 或 hypervisor)中逃出,在宿主环境获得代码执行能力。
- 渗透测试对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- 事后复盘事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。
- 收集(MITRE 战术)MITRE ATT&CK 战术 TA0009,涵盖在外发数据之前收集有价值信息的各种技术。
- 数据库防火墙串接在应用与数据库之间的安全设备或代理,按白名单策略检查 SQL,在攻击触达数据库之前阻断注入、权限滥用及未授权语句。
- 数据库活动监控(DAM)对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。
- 数据外泄MITRE ATT&CK 战术 TA0010,涵盖将被盗数据从受害者网络传送到攻击者控制位置的各种技术。
- 痛苦金字塔David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。
- 外部攻击面管理(EASM)从外部攻击者的视角持续发现并监控组织所有暴露在公共互联网上的资产。
- 网络犯罪即服务(CaaS)地下市场模式,专门化的犯罪卖家提供工具、基础设施或专业能力,使客户无需自建能力即可发动网络攻击。
- 网络杀伤链洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- 网络威胁情报(CTI)基于证据的对手知识体系,涵盖其动机和手法,用于支持防御决策并优先安排控制措施。
- 威胁情报关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- 威胁狩猎基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- 威胁行为者通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- 文件完整性监控 (FIM)通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。
- 误报将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。
- 系统加固通过移除不必要的功能、收紧配置并强制安全默认值,降低系统的攻击面。
- 新一代杀毒软件 (NGAV)在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- 行为检测通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。
- 应用程序白名单一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。
- 影响(MITRE 战术)MITRE ATT&CK 战术 TA0040,涵盖以破坏系统、数据或业务流程的可用性或完整性为目标的各种技术。
- 预防性控制旨在从源头上阻止安全事件发生的控制措施,通过消除机会或行为能力来实现。
- 运营威胁情报中期情报,描述具体攻击活动、威胁行为者及其 TTPs,帮助防御者做好准备、开展威胁狩猎并优先安排控制。
- 战略威胁情报面向高层决策的长期、宏观情报,涵盖威胁态势、攻击者意图和地缘政治背景,用于支撑董事会与高管决策。
- 战术、技术与过程(TTPs)对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
- 战术威胁情报关于对手工具、指标和特征的短期、高度技术化情报,由 SOC 分析师和安全工具消费以检测和拦截攻击。
- 侦察攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
- 证书透明度由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
- 执行(MITRE 战术)MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
- 主动防御一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。
- 资产管理对安全计划需要保护的所有硬件、软件、云和数据资产进行持续发现、清点、分类和全生命周期跟踪。
- 紫队红蓝公开协作的演练模式,目标是近乎实时地改进检测与响应能力。
- 钻石模型(入侵分析)一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
- Aircrack-ng开源 Wi-Fi 审计套件,用于捕获 802.11 流量并从握手包中破解 WEP 与 WPA/WPA2 预共享密钥。
- APT 组织拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
- BIA(业务影响分析)一种结构化分析,用于识别关键业务流程、其依赖关系,以及这些流程中断对运营、财务和声誉造成的影响。
- BlackCat / ALPHV基于 Rust 编写的勒索软件即服务运营组织,2021 年末至 2024 年活跃,以跨平台加密器与激进的多阶段勒索著称。
- BloodHound开源工具,利用图论方法绘制并分析 Active Directory 与 Azure AD 中通往域管理员等高价值目标的攻击路径。
- Burp SuitePortSwigger 推出的 Web 应用拦截代理与测试工具集,用于发现、篡改并利用 HTTP 与 HTTPS 应用中的漏洞。
- Censys面向全互联网的扫描平台,发布结构化的主机与 TLS 证书数据,用于攻击面管理和基础设施关联分析。
- Cobalt Strike一款商业化的对手模拟平台,广泛用于红队行动,也常被攻击者滥用于后渗透与命令控制。
- Conti 勒索软件讲俄语的勒索软件团伙,2020—2022 年间运营高产量的双重勒索项目,因大规模内部聊天记录与源码泄露后解散。
- eBPF 安全在 Linux 内核中运行扩展 BPF(eBPF)程序,为进程、网络和系统调用提供深度可观测性与策略执行的安全技术。
- EDR(端点检测与响应)持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- Elastic Stack(ELK)Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。
- EPP(端点保护平台)结合杀毒、反恶意软件、主机防火墙与漏洞利用防护的预防型端点安全套件,用于在威胁执行前进行阻断。
- Falco面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
- FIN 威胁组织Mandiant 命名体系下的财务驱动型威胁组织,主要针对支付系统、零售、酒旅及金融机构发起入侵。
- Google Chronicle SecOpsGoogle Cloud 提供的云原生 SIEM 与 SOAR(原 Backstory),以按员工数固定计价存储 PB 级遥测数据,并通过 YARA-L 检测语言进行查询。
- Hashcat基于 GPU 加速的开源密码恢复工具,支持字典、规则、掩码与混合攻击,可破解数百种哈希和认证算法。
- Kali Linux由 OffSec 维护的基于 Debian 的 Linux 发行版,预装了数百款渗透测试、红队与数字取证工具。
- LockBit讲俄语的勒索软件即服务运营组织,2022—2024 年成为全球最活跃的勒索软件品牌,直至被 Cronos 行动重创。
- MDR(托管检测与响应)由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。
- Metasploit一款开源漏洞利用框架,将漏洞利用、载荷与后渗透模块整合到统一平台,供渗透测试人员和研究人员使用。
- Microsoft Sentinel微软在 Azure 上提供的云原生 SIEM 与 SOAR 服务,使用 Kusto Query Language(KQL)查询日志,并与 Microsoft 365 Defender 及 Azure 数据源原生集成。
- Mimikatz开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- MISPMISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
- mitmproxy开源的交互式 TLS 代理工具,安全与 QA 工程师常用于拦截、查看、修改并重放 HTTP 与 HTTPS 流量。
- MITRE EngageMITRE 推出的对手交战(adversary engagement)框架,将防御方的欺骗、阻断与交战活动编入体系,取代早先的 MITRE Shield 知识库。
- MTTC(平均遏制时间)从检测到安全事件到威胁不再能够扩散、外泄数据或造成进一步损害的状态之间的平均时间。
- MTTD(平均检测时间)从安全事件发生到防御方识别该事件之间的平均经过时间。
- MTTR(平均恢复时间)在安全事件或服务中断之后,将受影响的系统和服务恢复至正常运行所需的平均时间。
- MTTR(平均响应时间)从检测到安全事件到针对该事件启动有效响应行动之间的平均时间。
- NDR(网络检测与响应)通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
- NessusTenable 推出的商用漏洞扫描器,可在网络、终端与云负载中识别缺失补丁、错误配置和暴露的服务。
- NetFlow源自 Cisco 的流记录协议,以及其继任者 sFlow 和 IPFIX,用于导出穿过网络设备的每一次会话的摘要元数据。
- Nmap开源网络扫描器,用于在 IP 网络上发现主机、枚举开放端口与服务,并对操作系统进行指纹识别。
- OSSEC免费开源的主机入侵检测系统,支持日志分析、文件完整性监控、Rootkit 检测与主动响应,覆盖 Linux、Windows、macOS 与 Solaris。
- OTXOTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
- PCAP由 libpcap、tcpdump、Wireshark 等工具生成的二进制数据包捕获文件格式,按原样存储链路上的网络数据包。
- REvil / Sodinokibi讲俄语的勒索软件即服务运营组织,2019—2021 年活跃,以双重勒索和针对 Kaseya VSA 的供应链攻击闻名。
- RPO(恢复点目标)企业在中断发生后可以容忍的最大可接受数据丢失量,通常以时间窗口表示。
- RTO(恢复时间目标)在中断发生后,业务流程或系统可被允许中断的最长可接受时长,超过该时间将导致不可接受的影响。
- Security Onion由 Doug Burks 创建、Security Onion Solutions 维护的免费开源 Linux 发行版,面向威胁狩猎、网络安全监控与日志管理。
- Shodan持续扫描互联网并索引服务横幅的搜索引擎,可查询暴露的设备、端口、软件版本和证书。
- SIEM聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- SIEM 规则调优对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。
- Sigma 规则面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
- SLA(服务级别协议)在服务提供方与客户之间正式约定预期服务水平的合同,涵盖可衡量的性能与安全承诺。
- Snort 规则采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
- SOAR通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
- SOC 成熟度模型从人员、流程、技术与服务四个维度评估安全运营中心,为多年期的能力提升路线图提供依据的框架。
- Splunk Enterprise SecuritySplunk Inc.(2024 年被 Cisco 收购)推出的商用 SIEM 解决方案,使用 Splunk Processing Language(SPL)对机器数据进行摄取、索引与关联,支持安全监控与调查。
- Splunk SPL 查询使用 Splunk 搜索处理语言(SPL)编写的查询,用于过滤、转换、关联和可视化机器数据,服务于检测、狩猎与报表。
- STIXSTIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
- Suricata由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
- SysmonMicrosoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。
- TAXII ProtocolTAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
- TLPTLP 是由 FIRST 维护的一套简单标签方案,用于标明共享的网络安全信息的敏感程度以及允许的再分发范围。
- Trivy由 Aqua Security 提供的开源单一二进制扫描器,可在容器镜像、文件系统、Git 仓库和 Kubernetes 集群中发现 CVE、配置错误、机密、SBOM 与许可证问题。
- UBA(用户行为分析)通过建立用户正常活动基线、识别异常行为来发现账号滥用、内部威胁和被盗凭据的分析技术。
- UEBA(用户与实体行为分析)一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。
- UNC 集群(未分类)Mandiant 用于跟踪一组相关入侵的代号,其行为者、动机或支持者尚未足以确认,无法升格为 APT 或 FIN。
- UTM(统一威胁管理)将防火墙、IPS、网页过滤、防病毒、VPN 等功能集成于单一网络安全设备的一体化方案,主要面向中小企业和分支机构。
- VERIS 框架Verizon 推出的「事件记录与事件共享词汇表」(VERIS),一种用于以结构化、可比较方式描述安全事件的开放模式。
- Wazuh开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。
- WHOIS 查询对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。
- Wireshark开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。
- XDR(扩展检测与响应)整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
- YARA 规则采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
- Zeek开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。